Grudzień 2024 roku to ważny moment dla świata cyberbezpieczeństwa – upływa 35 lat od pierwszego ataku ransomware i 20 lat od pojawienia się jego współczesnej formy, która z eksperymentalnego narzędzia przerodziła się w jedno z największych wyzwań dla użytkowników internetu.
Pierwsze kroki: ransomware na dyskietce
Pierwszy atak ransomware miał miejsce w 1989 roku. Na dyskietkach rzekomo zawierających ankietę dotyczącą ryzyka zachorowania na AIDS ukryto złośliwe oprogramowanie, które po 90 uruchomieniach komputera szyfrowało pliki i żądało okupu w formie czeku. Sprawca nie został ukarany. Próby tego typu w tamtych czasach często kończyły się fiaskiem ze względu na brak internetu i anonimowych metod płatności.
Nowa era kryminalna
Krytyczny zwrot nastąpił w 2004 roku z pojawieniem się ransomware GPCode, które korzystało z załączników w e-mailach, by infekować komputery ofiar. Choć początkowo stosowano proste algorytmy szyfrowania, rozwój technologii pozwolił przestępcom na wdrożenie bardziej zaawansowanych metod, takich jak klucze publiczne.
Przełomem okazały się kryptowaluty, które w 2013 roku zostały wykorzystane przez twórców CryptoLocker. Bitcoin umożliwił anonimowe transakcje, co nadało atakom ransomware bardziej profesjonalny i lukratywny charakter.
Profesjonalizacja cyberprzestępczości
W latach 2010–2020 środowisko ransomware przeszło głęboką transformację. Cyberprzestępcy zaczęli działać w modelu partnerskim, delegując zadania takie jak dystrybucja oprogramowania na mniej wykwalifikowane grupy, sami zaś skupili się na ulepszaniu technologii. Powstały nawet specjalistyczne portale dla partnerów, umożliwiające monitorowanie efektywności działań.
W 2019 roku pojawiło się oprogramowanie Maze, które wprowadziło podwójny szantaż – ofiary nie tylko traciły dostęp do zaszyfrowanych danych, ale grożono im również ujawnieniem wykradzionych informacji, co dodatkowo potęgowało presję.
“Wcześniej, w 2017 roku, ransomware WannaCry i NotPetya pokazały, jak destrukcyjne mogą być tego typu ataki. WannaCry automatycznie rozprzestrzeniało się między systemami, jednak ograniczony jeszcze wówczas sposób płatności z wykorzystaniem portfeli bitcoin utrudnił przestępcom identyfikację ofiar, które zapłaciły okup. Z kolei NotPetya, choć przypominało ransomware, w rzeczywistości działało bardziej jak narzędzie destrukcyjne – usuwając krytyczne dane, co czyniło odzyskanie plików niemożliwym nawet po zapłaceniu okupu”
komentuje Martin Lee z Cisco Talos.
Zmiana strategii i nowe cele
Podczas gdy początkowe ataki ransomware były skierowane na masowego użytkownika, ewolucja strategii skupiła uwagę przestępców na dużych instytucjach. Ataki takie jak SamSam (2016) pokazały, że celowanie w konkretne organizacje, takie jak szpitale czy korporacje, przynosi wyższe zyski.
Ostatnie lata przyniosły zarówno wzrost liczby ataków, jak i coraz lepsze narzędzia obronne. Kopie zapasowe danych stały się kluczowym elementem strategii ochrony, choć ich brak wciąż jest piętą achillesową wielu firm.
Ransomware pozostanie z nami, ewoluując wraz z technologią. Branża cyberbezpieczeństwa odpowiada jednak innowacjami, które pomagają ograniczać skutki zagrożeń.
„Ransomware raczej nie zniknie – jego opłacalność sprawia, że zostanie z nami na długie lata i wciąż będzie ewoluował. Cyberprzestępcy nadal będą wykazywali się niezwykłą pomysłowością w wymyślaniu nowych technik i metod mających na celu udoskonalenie swojego modelu biznesowego oraz unikania wykrycia ich samych i ich złośliwego oprogramowania. Branża cyberbezpieczeństwa odpowiada jednak swoimi innowacjami, stale tworząc nowe narzędzia i strategie ochrony. Dzięki stałemu aktualizowaniu wiedzy i globalnej współpracy możemy ograniczyć ryzyko i zbudować bardziej odporną cyfrową przyszłość”
podsumowuje Martin Lee, lider Cisco Talos w regionie EMEA.
źródło: Cisco Talos
